Qu'est-ce que Recursive DNS?
Recursive DNS est une méthode de résolution DNS où un résolveur récursif gère l'ensemble du processus de recherche au nom d'un client, traversant la hiérarchie DNS des serveurs racine aux serveurs de noms faisant autorité et renvoyant la réponse finale.Comment le DNS récursif Travaux
Client Query: "What is the IP for www.example.com?"
Step 1: Client → Recursive Resolver
"Please resolve www.example.com"
Step 2: Resolver → Root Server (.)
"Who handles .com?"
← Response: "Try a.gtld-servers.net"
Step 3: Resolver → TLD Server (.com)
"Who handles example.com?"
← Response: "Try ns1.example.com at 192.0.2.1"
Step 4: Resolver → Authoritative Server (example.com)
"What is the A record for www.example.com?"
← Response: "192.0.2.10"
Step 5: Resolver → Client
"www.example.com is at 192.0.2.10"
(Resolver caches result for future queries)
DNS récursif vs itératif
| Fonctionnalité | Récursifs | itératif |
|---|---|---|
| Travaux de recherche | Resolver fait tout le travail | Le client suit les recommandations |
| La complexité du client | Simple | Complexe |
| Usage courant | Résolveurs utilisateurs finaux | Serveur à serveur |
| Type de réponse | Réponse finale | Réponse ou saisine |
Débit de résolution DNS
DNS Hierarchy:
Root Servers (.)
│
┌────────┼────────┐
│ │ │
.com .org .net ← TLD Servers
│
example.com ← Authoritative Servers
│
┌───┴───┐
www mail ← Host Records
Résolveurs récursifs publics
| Fournisseur | Enseignement primaire | Secondaire | Caractéristiques |
|---|---|---|---|
| 8.8.8.8 | 8.8.4.4 | Émissions mondiales | |
| Nuageux | 1.1.1.1 | 1.0.0.1 | Vie privée |
| Quad9 | 9.9.9.9 | 149.112.112.112 | Filtre de sécurité |
| Ouvrir un DNS | 208.67.222.222 | 208.67.220.220 | Filtre de contenu |
Comportement en cache
| Emplacement du cache | TTL contrôlé par | Durée typique |
|---|---|---|
| Résolveur récursif | Administrateur de zone | Heures par jour |
| Navigateur | En-têtes HTTP + DNS TTL | Minutes à heures |
| Résolveur OS | DNS TTL | Minutes à heures |
Considérations en matière de sécurité
- Empoisonnement à la cache: Les attaquants injectent de faux enregistrements dans le cache du résolveur
- Amplification DNS: Les attaquants utilisent des résolveurs ouverts pour DDoS
- Confidentialité: les résolveurs voient toutes les requêtes de leurs utilisateurs
- Mitigation: validation DNSSEC, limitation des taux, DNS chiffré (DoH/DoT)
Drapeaux de requête
Recursion Desired (RD): Client requests recursive resolution
Recursion Available (RA): Server supports recursion
Query: dig example.com @8.8.8.8
;; flags: qr rd ra ← RD set by client, RA confirmed by server
Meilleures pratiques
1. Utilisez des résolveurs fiables: Choisissez des résolveurs avec un bon temps de disponibilité et de performance
2. Activer la validation DNSSEC: Protégez contre les attaques par effraction
3. Consider la confidentialité: utiliser le DNS chiffré (DoH/DoT) pour les requêtes sensibles
4. Latence du contrôleur: L'emplacement du résolveur affecte la vitesse de recherche
5. Configurer les retombées: Utiliser plusieurs adresses de résolveur
Le DNS récursif simplifie la résolution pour les utilisateurs finaux en gérant automatiquement la complexité de la hiérarchie DNS.